所有企業要注意了,你隨時可能掉進GDPR這個坑裡!
兩年的《通用數據保護條例》GDPR的過渡期結束,這項在普通人眼裡感覺枯燥的歐盟法案2018年5月25日正式生效。但是這項法案將從互聯網企業開始逐步影響整個全球行業變革。
為什麼歐盟的法案影響全球?因為該條例面向所有收集、存儲或處理歐盟境內任何居民的個人數據的任何組織及企業,無論該企業是否位於歐盟成員國內。這句話,在移動互聯、IOT、雲計算高度發展的今天,以及實體經濟與互聯網高度融合的今天,全球任何企業都有可能和歐盟成員打交道,也就是說,全球任何企業都必須認認真真的考慮應對這個條例的機制。
因為你要是一不小心或者大意了違反了GDPR,那麼高達2,000萬歐元或全年總收入的4%的巨額罰款估計讓你肉疼。
在這裡給中國企業幾點建議,
第一、不要掉以輕心,事不關己。這不僅是阿里巴巴、華為這樣的全球高科技企業需要注意的問題,同時在安防、無人機、共享汽車、共享經濟相關,無人汽車等領域企業應該注意的條款,因為隨著中國智能製造2025戰略的提出,以及人工智慧的快速發展。目前大的到製造裝備,小到兒童玩具,都會和智能相關,都會嵌入各種晶元、軟體,必然會產生數據和數據的處理。一不小心可能就會誤入到GDPR的坑裡。毫無疑問,GDPR 法規今後也適用於所有企業。
第二、不管是非常傳統的手工作坊還是傳統的製造業,對數據隱私這個概念應該有了新的認識。以前可能覺得無所謂,現在估計要考慮一下,對數據保護、數據安全數據隱私都有全新的認識。任何一個企業在經營的過程中,都將在腦子裡考慮一下,這會觸碰GDPR嗎?
第三、趕緊搶奪數據專家。傳統的企業更不要說,必然會招攬懂數據安全、數據隱私的專家來確保企業滿足GDPR合規要求提供支持。同時這些專家能為企業提供數據備份和使用相關工具的專業建議,降低企業在數據攻擊時造成的不必要的損失。
當然目前來看,必然有不少企業要進入GDPR這個坑裡,成為一個個不好的「教材」。因為全球來看,很多企業還沒有對 GDPR 做好準備。
根據Veritas針對GDPR的調研表明,針對GDPR合規性,不少企業都還有很長的路要走。Veritas推出的2017 GDPR報告顯示:
18%的企業擔心,不滿足合規要求將最終導致公司破產
32%的企業認為,他們沒有合適的技術來滿足GDPR的要求
約40%的企業無法準確識別和定位相關數據,而這是GDPR條例要求企業所必須擁有的能力
平均而言,企業將在2018年投入130萬歐元來改善GDPR合規性
針對GDPR,企業要注意哪些關鍵因素?
數據領域專業人士Veeam中國區總經理施勤給出建議,首先所有企業應 「全面戒備」。哪怕沒有任命數據保護專員的打算,企業也需讓所有僱員意識到,GDPR條例的實施關係到每一個人。換句話說,企業或組織內的所有關鍵利益相關方都應清楚了解新條例的要求與效力,以及GDPR將對企業組織運行產生的影響。
其次,特別是不太了解自身所儲存處理的數據的企業最好儘快做好準備,所有企業都應清楚了解自身儲存個人數據的內容、地點、方式、來源、儲存這些數據的原因以及獲取數據的方式。因為這些可能就是地方GDPR執行機構關心的問題。
而對於那些違反條例或無法備份託管數據保證數據安全的企業,官方絕不會寬大處理。高額的罰金並非玩笑。很快,就會有違規的企業成為「前車之鑒」,以儆效尤。
第三,公民將對個人數據享有更大的權利。隨著GDPR的實施,人們將會更加意識到自身的數據權利。以及有權獲取個人數據,或要求企業為其提供個人數據(以他們能理解的格式)。反觀企業,為了不在滿足民眾數據需求上花費過多精力,並且在必要時能夠找到所需數據,企業需確保使用合理方法為每個數據點定位。
第四,嚴防數據泄露,根據GDPR的數據泄露通知要求,企業必須在發現數據泄露的72小時內通知相關部門。但是在發生數據泄露後,企業往往為配合各項調查、採取補救措施而焦頭爛額。
數據領域專業人士Veritas公司大中華區總裁楊晨認為,對於企業來說,GDPR合規性不再只是CIO一個人的職責,而是需要所有部門的共同努力。很多企業並不是十分了解企業內部數據的管理權歸屬。高管常常認為CIO是負責GDPR的關鍵人物,而CIO又認為這是高管的職責。公平地說,這需要多個職能部門的配合。這種跨職能性意味著,企業需要在創建合規和數據治理文化時,徹底改變思維模式。
楊晨給出的建議是,滿足GDPR要求的關鍵的第一步是要全面了解公司擁有的所有個人數據位於何處。制定有關信息存儲位置、數據訪問許可權所有者、數據保存時間以及數據傳輸位置的數據地圖,這對了解企業如何處理和管理個人數據至關重要。因此企業應對對所有數據進行定位。
第二,企業應該部署相關技術,建立針對所有用數據的實時查看能力,通過基於自動化策略的方法來發現、分類和管理信息。來滿足歐盟居民來申請查看相關公司持有的所有個人數據。他們有權要求企業糾正(如有錯誤)、導出(以合適的導出格式)或刪除其數據。
第三,企業應該部署和執行能夠隨著時間演進自動讓數據失效的數據保存政策。同時確保企業存儲個人數據最小化,數據最小化是GDPR的主要原則之一。
第四,數據保護,根據GDPR條例,企業有責任實施技術及企業相關措施,來展示他們已經將數據保護集成到了所有數據收集和處理活動中。
第五,嚴防數據泄露,GDPR 規定,所有企業都有責任在出現特定類型的數據泄漏時上報給相關監管機構,並在某些情況下通知受影響的個人。企業應該確保自身有能力監控可能的泄漏事件(比如意外或不尋常的文件訪問模式),並快速啟動報告流程。
※傳統企業互聯網轉型新動向——有貨攜手余文樂百位KOL演繹潮流穿搭
※多雲及新應用部署環境中,企業該如何完成應用架構轉型?
TAG:至頂網 |